Brute-Force-Attacken: 5 Tipps um dagegen gewappnet zu sein

← zurück zum Blog

Mit Brute-Force-Attacken versuchen Angreifer Websites zu kapern. Wir zeigen, was Brute-Force-Attacken genau sind und geben Tipps, wie Sie Ihre Website gegen solche Angriffe schützen.

Brute-Force-Attacken

5 Tipps, um gegen Brute-Force-Attacken gewappnet zu sein.

Was sind Brute-Force-Attacken?

Die Brute-Force-Methode (aus dem Englischen «brute force» = rohe Gewalt) im Kontext von Websites lässt sich einfach definieren: Angreifer versuchen Benutzername-Passwort-Kombinationen zu erraten, um sich Zugriff zur Administrationsoberfläche von Content-Management-Systemen wie WordPress, Joomla oder Drupal zu verschaffen.

Brute-Force-Attacken nehmen meistens Passwortlisten als Grundlage, die immer wieder einmal durchs Netz geistern. Sogenannte Wörterbuchangriffe sind deshalb so verbreitet, weil viele Nutzer schlechte Passwörter hinterlegt haben oder das identische Passwort mit mehreren Diensten nutzen. Werden bei einem dieser Dienste Passwörter entwendet, haben Angreifer leichtes Spiel und können sich auch bei anderen Diensten mit den ergatterten Benutzerdaten einloggen.

Doch keine Sorge: Mit wenig Aufwand schützen Sie sich effektiv davor, dass solche Angriffe auf Ihrer Website Erfolg haben.

5 Ratschläge für den Kampf gegen Brute-Force-Angriffe

Sie ahnen bestimmt schon, was unser erster Tipp ist. Genau:

1. Sichere Passwörter

Das beste Mittel gegen Eindringlinge, die Ihr Passwort erraten wollen, ist ein starkes Passwort. Ein sicheres Passwort

  1. besteht aus mindestens 8 Zeichen,
  2. enthält keine Wörter, die in einem Wörterbuch vorkommen,
  3. enthält keine Zeichenfolgen, die in einem näheren Zusammenhang mit Ihnen stehen (Geburtsdaten, Haustiernamen, etc.),
  4. enthält mindestens eine Zahl, ein Sonderzeichen und besteht aus Gross- und Kleinbuchstaben.
  5. und ganz wichtig: Wird nur mit einem Dienst verwendet.

Am einfachsten verwenden Sie dafür einen Passwortmanager, denn wer kann sich schon viele verschiedene Passwörter merken. Das kann ein lokales Programm wie KeePassX und Password Gorilla oder auch ein Dienst wie 1Password und LastPass sein, wenn Sie die Passwörter auf mehreren Geräten griffbereit haben möchten.

2. Login-Seite zusätzlich absichern

Die Login-Seiten für Content-Management-Systeme sind jeweils unter typischen Adressen erreichbar (das Beispiel WordPress unter /wp-admin). Dieses typische Merkmal machen sich Angreifer zur Nutze und setzen Login-Versuche automatisiert und gezielt auf diese Adressen ab. Versehen Sie die Login-Seite für die Administrationsoberfläche Ihrer Website mit einem zusätzlichen Passwort, benennen Sie die typische Adresse um (in WordPress zum Beispiel mit einem Plugin) oder erlauben Sie den Zugriff zur Login-Seite nur ausgewählten IP-Adressen.

3. Standardbenutzernamen ändern

Oft geben Content-Management-Systeme bei der Einrichtung einen Standardbenutzernamen vor. Im Beispiel WordPress lautet dieser admin. Wählen Sie gleich bei der Einrichtung einen anderen Benutzernamen oder ändern Sie den Namen nachträglich. Mit dieser kleinen Massnahme ist Ihre Website bereits für eine Mehrzahl der Brute-Force-Attacken ausserhalb der Schusslinie.

4. Zwei-Faktor-Authentifizierung einbauen

Bereits Punkt 2 folgt diesem Credo: Mit einem zweiten Schritt, der vor den eigentlichen Anmeldevorgang geschoben wird, sind Brute-Force-Attacken praktisch kein Thema mehr. Erweitern Sie die Login-Seite mit einem Captcha oder, noch besser, mit einer Zwei-Faktor-Authentifizierung (2FA). Damit ist für den erfolgreichen Login ein zusätzliches Element nötig, das in einer entsprechenden Smartphone-App oder per SMS geliefert wird.

5. Zusatzdienste verwenden

Mit den oben genannten Tipps sind Sie bereits ganz gut gegen erfolgreiche Brute-Force-Attacken abgesichert. Brute-Force-Attacken können je nach Grösse Auswirkungen auf die Performance Ihrer Website haben und zu einem regelrechten DDoS-Angriff mutieren. Anfragen der Angreifer fressen dabei die Serverressourcen, die für Anfragen von legitimen Besuchern Ihrer Website fehlen. Hier können Anbieter wie CloudFlare, Sucuri oder Incapsula helfen, die Angriffe bereits abzuwehren, bevor diese überhaupt erst Ihre Website erreichen.

Es kann jeden treffen

Die genannten Tipps helfen Ihnen, sich gegen Brute-Force-Angriffe zu wappnen. Seien Sie sich bewusst: Jede Website kann Ziel eines solchen Angriffs werden. Völlig unabhängig davon, ob die Website viel- oder wenigbesucht ist. Brute-Force-Angriffe verlaufen meistens völlig automatisiert und Angreifer interessiert es nicht, wie beliebt eine Website ist.

Haben Sie zusätzliche Massnahmen im Einsatz, um sich gegen Angriffe zu schützen? Hinterlassen Sie uns Ihre Tipps als Kommentar.

Ein Kommentar

  1. Anmerkung zu Punkt 3.
    Man kann Login Namen in WordPress meines wissens nach nur in der Datenbank ändern.
    Und es ist ein leichtes den admin heraus zu finden über Author Pages, daher empfehle ich noch https://de-ch.wordpress.org/plugins/remove-author-pages/

Kommentar hinzufügen

Ihre E-Mailadresse wird nicht veröffentlicht.
Auszufüllende Felder sind mit einem * gekennzeichnet.

*
*
*
Einfache HTML Anweisungen wie a, strong, blockquote etc. sind möglich.

Hinweis

Wir behalten uns vor, Spam-, beleidigende oder anderweitig unpassende Kommentare zu entfernen.

← zurück zum Blog